Internet Explorer 中的一個漏洞使用戶憑據面臨風險，微軟正在努力修復它

今天發現了 Internet Explorer 中的一個新漏洞。 此漏洞適用於所有最新版本的 IE，它允許任何人訪問用戶的登錄憑據。 這是一個通用的跨站點腳本 (XSS) 錯誤和一個 概念驗證漏洞 最近在網絡上發布。

為了演示攻擊，dailymail.co.uk 的內容被外部域更改。

一旦擁有 cookie，攻擊者就可以訪問通常只有受害者才能訪問的相同受限區域，包括那些擁有信用卡數據、瀏覽歷史和其他機密數據的區域。 網絡釣魚者還可以利用該漏洞誘騙人們洩露敏感網站的密碼。

Microsoft 已意識到此錯誤並已著手修復。

我們不知道此漏洞正在被積極利用，並且正在開發安全更新。 為了利用這一點，攻擊者首先需要引誘用戶訪問惡意網站，通常是通過網絡釣魚。 SmartScreen 在較新版本的 Internet Explorer 中默認啟用，有助於防止網絡釣魚網站。 我們繼續鼓勵客戶避免打開來自不受信任來源的鏈接和訪問不受信任的網站，並在離開網站時註銷以幫助保護他們的信息。

通過： Ars Technica的